Google Chrome für Android - Schwere Sicherheitslücke gefährdet alle Smartphones

Android-Smartphones sind durch eine Sicherheitslücke in Google Chrome gefährdet.

Auf der PacSec-Konfererenz in der japanischen Hauptstadt Tokio findet auch wieder ein Hacker-Wettbewerb unter dem Titel MobilePwn2Own statt. Hier führte der Sicherheitsforscher Guang Gong von Quihoo 360 einen Exploit für Google Chrome unter Android vor, an dem er drei Monate lang gearbeitet hatte. Der Angriff ermöglicht es, die Kontrolle über ein Smartphone zu übernehmen, wenn eine entsprechend präparierte Webseite besucht wird.

Die Besonderheit dieses Exploits ist, dass im Gegensatz zu vielen anderen Angriffen nicht mehrere Sicherheitslücken in einzelnen Schritten ausgenutzt werden. Stattdessen wird eine nicht näher bezeichnete Sicherheitslücke in der Verarbeitung von JavaScript in Google Chrome in einem einzigen Schritt so eingesetzt, dass im Hintergrund unbemerkt durch den Nutzer beliebige Software installiert werden kann. Damit könnten Angreifer das Smartphone komplett kontrollieren, auch wenn während des Wettbewerbs zu Demonstrationszwecken nur ein kleines Spiel installiert wurde.

Laut den Sicherheitsexperten sollte dieser Angriff auf jedem Android-Smartphone funktionieren, da die JavaScript-Engine direkt das Ziel ist. Google hat die Details zu dieser Sicherheitslücke erhalten und wird vermutlich auch eine Belohnung auszahlen, auch wenn das Unternehmen selbst gar nicht auf dem Wettbewerb vertreten war.

Eine Stellungnahme von Google zu der gefundenen Sicherheitslücke, die alle Android-Versionen mit der neuesten Version von Google Chrome betrifft, gibt es bislang noch nicht. Von den Veranstaltern der PacSec wird Gong aber immerhin auf die CanSecWest-Konferenz im März 2016 eingeladen, verbunden mit einem Skiausflug.

Quelle: The Register